{"id":26643,"date":"2022-04-21T15:20:06","date_gmt":"2022-04-21T13:20:06","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26643"},"modified":"2022-04-21T15:20:06","modified_gmt":"2022-04-21T13:20:06","slug":"yanlouwang-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/yanlouwang-decryptor\/26643\/","title":{"rendered":"Decryptor per il malware Yanluowang"},"content":{"rendered":"

In genere consigliamo alle vittime di ransomware di non disperare e di non cancellare nessun file, anche se all\u2019inizio sembra impossibile poterli recuperare. Dopo tutto, un giorno la polizia potrebbe confiscare l\u2019infrastruttura utilizzata dagli hacker o alcuni ricercatori potrebbero scoprire delle falle negli algoritmi del malware. Un esempio di quest\u2019ultimo caso, \u00e8 la ricerca realizzata da Kaspersky nei confronti del ransomware Yanluowang. I nostri esperti hanno scoperto una vulnerabilit\u00e0 che permette recuperare i file senza la necessit\u00e0 di disporre della chiave degli hacker (anche se, affinch\u00e9 questo sia possibile, si devono dare determinate condizioni).<\/p>\n

Come decriptare i file criptati da Yanluowang<\/h2>\n

La vulnerabilit\u00e0 del malware Yanluowang permette la decrittazione dei file con l\u2019aiuto di un attacco known-plaintext<\/em> (conosciuto anche come attacco con testo in chiaro noto). Questo metodo aggira l\u2019algoritmo di crittografia, ma per farlo ha bisogno di due versioni dello stesso testo: una pulita e una criptata. Quindi, se la vittima dispone di copie pulite di alcuni dei file criptati, o sa dove ottenerle, il nostro RannohDecryptor<\/a> aggiornato pu\u00f2 analizzarle e recuperare il resto dei dati.<\/p>\n

Purtroppo per\u00f2 c\u2019\u00e8 un problema: Yanluowang corrompe i file in un modo leggermente diverso a seconda delle loro dimensioni. Cripta completamente i file di piccole dimensioni (meno di 3GB) e in parte quelli di grandi dimensioni. Quindi la loro decrittazione richiede file puliti di diverse dimensioni. Per i file pi\u00f9 piccoli di 3GB, \u00e8 sufficiente avere l\u2019originale e una versione criptata del file di dimensioni pari o superiori a 1024 byte. Per recuperare file pi\u00f9 grandi di 3GB, invece, sono necessari i file originali con le dimensioni corrette. Tuttavia, se si riesce a trovare un file pulito pi\u00f9 grande di 3GB, in genere \u00e8 possibile recuperare tutti i dati colpiti.<\/p>\n

Cos\u2019\u00e8 Yanluowang e perch\u00e9 \u00e8 pericoloso?<\/h2>\n

Yanluowang \u00e8 un ransomware relativamente nuovo che cybercriminali sconosciuti usano per attaccare grandi aziende. \u00c8 stato rilevato<\/a> per la prima volta alla fine dell\u2019anno scorso. Per avviare il processo di crittografia, il malware deve ricevere i corrispondenti parametri d\u2019ingresso, il che suggerisce che un operatore controlla l\u2019attacco in modo manuale. Ad oggi, tra le vittime di Yanluowang figurano aziende che hanno sede negli Stati Uniti, in Brasile e in Turchia.<\/p>\n

Per i dettagli tecnici su Yanluowang, cos\u00ec come gli indicatori di compromissione, vi invitiamo a leggere il nostro post su Securelist<\/a>.<\/p>\n

Come proteggersi da Yanluowang<\/h2>\n

Per proteggersi dal ransomware, basta seguire i nostri consigli standard: mantenete sempre il software aggiornato; salvate i backup dei dati su uno storage offline; fornite ai dipendenti una formazione di base sulla cybersicurezza<\/a>; \u00a0infine, dotate tutti i dispositivi connessi di una protezione efficace contro i ransomware<\/a><\/p>\n

Tuttavia, a causa dei numerosi attacchi mirati (anche quelli gestiti in modo manuale), \u00e8 necessario un approccio alla sicurezza completo. Quindi i nostri esperti raccomandano anche:<\/p>\n